springboot集成JWT

最新推荐文章于 2023-12-21 11:06:43 发布
最新推荐文章于 2023-12-21 11:06:43 发布
阅读量71 收藏
点赞数
分类专栏: springboot从搭建到集成 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40208374/article/details/133128910
版权
JWT简介

是一种认证机制,主要用于用户登陆鉴权,生成token。

JWT结构

一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名,由“.”隔开。
header.payload.signature

eyJhbGciOiJIUzUxMiJ9.eyJleHAiOjE2OTUyNjczNTEsImNyZWF0ZVRpbWUiOjE2OTUxODA5NTE5NjAsImlkIjoxfQ.BNydrTifBXfxvFjV8-ofLZW1kodlNgsBqJeXMgesf2hLFR5bQ5vG0Ao0NKlUG9I2J9ksj-m3MFbefj7SVBxf0g
  • header

jwt的头部实际就是对元数据的描述,是一个 json对象,格式如下:

{
    "alg": "HS256",
    "typ": "JWT"
}

其中:
alg属性表示签名使用的算法,默认为 HMAC SHA256(写为HS256),
typ 属性表示令牌的类型,JWT 令牌统一写为JWT。

最后生成 t o k e n 的时候,就是将 j s o n 使用 B a s e 64 U R L 算法转码即可。 \color{red}{最后生成token的时候,就是将json使用 Base64 URL 算法转码即可。} 最后生成token的时候,就是将json使用Base64URL算法转码即可。

在实际的工作用,使用的是简化版,如下图:

{"alg":"HS512"}

base64转码就是eyJhbGciOiJIUzUxMiJ9

一但确定算法,请求头每次生成的结果是相同的 \color{blue}{一但确定算法,请求头每次生成的结果是相同的} 一但确定算法,请求头每次生成的结果是相同的

  • payload

载荷部分主要是传入一些非敏感的数据,也是json对象。

{"exp":1695197703,"createTime":1695111303930,"id":1}

除过需要传的一些数据外,还有七个默认的字段供选择:

iss (issuer):签发人/发行人
sub (subject):主题
aud (audience):用户
exp (expiration time):过期时间
nbf (Not Before):生效时间,在此之前是无效的
iat (Issued At):签发时间
jti (JWT ID):用于标识该 JWT

最后json进行base64编码,就生成token的第二部分内容

  • signature

签名主要是由header和payload两部分的base64编码,然后通过header中声明的加密算法 进行加盐secret组合加密,然后就得出一个签名哈希,也就是Signature,且无法反向解密。

集成JWT
  • 添加依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
  • 创建jwt工具类
package com.test.commutill;

import io.jsonwebtoken.*;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

/**
 * @Description
 * @Author yz
 * @Date 2023/9/20 12:27
 **/
@Component
public class JwtUtil {
private static final String secretKey="projectName";  //密钥一般为项目名称
private static final String subject="projectName";  //发行者一般为项目名称
private  static  final Long ttlMillis =7*24*60*60*1000L;//过期时间
    /**
     * 生成token
     * @param claims
     * @return
     */
    public static String createJWT(Map<String, Object> claims){
        JwtBuilder builder = Jwts.builder()
                .setId(UUID.randomUUID().toString()) //jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
                .setSubject(subject) // 发行者
                .setIssuedAt(new Date()) // 发行时间
                .signWith(SignatureAlgorithm.HS256, secretKey) // 签名类型 与 密钥
                .setClaims(claims)
                .setNotBefore(new Date()) //定义在什么时间之前,该jwt都是不可用的
                .setExpiration(new Date(System.currentTimeMillis() + ttlMillis))
                .compressWith(CompressionCodecs.DEFLATE);// 对载荷进行压缩

        return builder.compact();
    }

    /**
     * 从灵牌中获取用户声明的数据信息
     * @param token
     * @return
     */
    public static Claims parseJWT(String token) {
        return Jwts.parser().setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 获取具体的用户id值
     * @param token
     * @return
     */
    public static String getInfoByToken(String token){
    Claims claims = parseJWT(token);
    String useId = claims.get("userId").toString();//获取userId属性值

    return useId;
    }

    /**
     * 判断令牌是否过期
     *
     * @param token 令牌
     * @return 是否过期
     */
    public static Boolean isTokenExpired(String token) {
        try {
            Claims claims = parseJWT(token);
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * token 校验
     * @param token
     * @return
     */
    public static Boolean validateToken(String token,String userId) {
        String id = getInfoByToken(token);
        return (userId.equals(id) && !isTokenExpired(token));
    }

    /**
     * 刷新令牌
     * @param token
     * @return
     */
    public static String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = parseJWT(token);
            refreshedToken = createJWT(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    //测试数据
    public static String generateToken() {
        Map<String, Object> claims = new HashMap<>(4);
        claims.put("userId", 123);
        claims.put("phone", "13554345676");
        return createJWT(claims);
    }

    public static void main(String[] args) {
        String token="eyJhbGciOiJIUzI1NiIsInppcCI6IkRFRiJ9.eNqqVspLSlOyMjSzNDW0sDQxMNNRSq0ogAiYW5oYgQRKi1OLPFOAYkbGOkoFGfl5qUpWSobGpqYmxiamZuZmSjpK-QWpeSAlYEZmilItAAAA__8.xtprUrY-zvyYvAoI2zFXfEL2tjZvPlMl_sP_YRT-0yU";
        //String token1 = generateToken();
        String claims = getInfoByToken(token);
        System.out.println("用户声明的数据:"+claims);
    }
}
  • 配置拦截器
package com.test.intercepator;

import com.test.commutill.JwtUtil;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.HandlerMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

/**
 * @ClassName: Intercepator
 * @description: 拦截器实例
 * @author: yz
 * @create: 2021-12-10 14:28
 * @Version 1.0
 */
@Component
public class Intercepator implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        Map<String, Object> map = new HashMap<>();
        if (StringUtils.isBlank(token)) {
            throw new RuntimeException("无token值");
        }
        String userId = request.getParameter("userId");
        if (!JwtUtil.validateToken(token, userId)) {
            throw new RuntimeException("token验证失败");
        }
        return true;
    }


}
  • 在webConfig中注册拦截器
package com.test.config;

import com.test.intercepator.Intercepator;
import com.test.intercepator.LocaleChangeInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;

/**
 * @ClassName: WebConfig
 * @description:
 * @author: yz
 * @create: 2021-12-10 14:01
 * @Version 1.0
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private Intercepator intercepator;

    @Autowired
    private LocaleChangeInterceptor localeChangeInterceptor;

    //拦截器配置
       /*   addInterceptor:需要一个实现HandlerInterceptor接口的拦截器实例
        addPathPatterns:用于设置拦截器的过滤路径规则;addPathPatterns("/**")对所有请求都拦截
        excludePathPatterns:用于设置不需要拦截的过滤规则
        拦截器主要用途:进行用户登录状态的拦截,日志的拦截等。*/
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
       registry.addInterceptor(intercepator)
                .addPathPatterns("/**")
                .excludePathPatterns(
                        "/swagger-*/**",
                        "/doc.html",
                        "/v2/api-docs"
                );
    }

}
  • 测试环节
    可以写一个接口,进行postman测试。
	package com.test.controller;

	import io.swagger.annotations.Api;
	import org.springframework.web.bind.annotation.RequestMapping;
	import org.springframework.web.bind.annotation.RequestMethod;
	import org.springframework.web.bind.annotation.RestController;

	/**
	 * @ClassName: HelloWorldController
	 * @description: hello
	 * @author: yz
	 * @create: 2021-12-03 21:51
	 * @Version 1.0
	 */
	@RestController
	@RequestMapping("/test")
	@Api(tags = {"helloApi"})
	public class HelloWorldController {

		@RequestMapping(value = "/hello",method = RequestMethod.GET)
		public String hello() {
			return "Hello World!";
		}

	}

测试结果:
接口请求

方式二:

  • 添加依赖
   <!--jwt的依赖-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.3</version>
        </dependency>
  • 配置工具类
package com.test.commutill;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.DecodedJWT;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;

import java.util.Calendar;
import java.util.HashMap;
import java.util.Map;

/**
 * @Description
 * @Author yz
 * @Date 2023/9/20 16:41
 **/
public class JwtUtil2 {
    private static final String secretKey = "projectName";  //密钥一般为项目名称
    private static final String subject = "projectName";  //发行者一般为项目名称
    private static final Long ttlMillis = 7 * 24 * 60 * 60 * 1000L;//过期时间

    /**
     * 生成token
     *
     * @param map payload中需要放置的相关非敏感信息
     * @return 返回的生成的token信息
     */
    public static String getToken(Map<String, Object> map) {
        //设置一个时间,作为令牌的过期时间 ,设置过期时间为7天
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE, 7);

        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();
        //遍历map集合,将信息放到payload中
        map.forEach((k, v) -> {
            builder.withClaim(k, v.toString());  //payload信息
        });
        //header信息可以省略,因为默认已经有算法和类型了,也可以在headerMap中设置算法
        HashMap<String, Object> headerMap = new HashMap<>();
        String token = builder.withHeader(headerMap)     //header信息
                .withExpiresAt(calendar.getTime()) //token过期时间
                .sign(Algorithm.HMAC256(secretKey));//签名
        return token;
    }

    /**
     * 验证token DecodedJWT 为解密之后的对象 可以获取payload中添加的数据
     */
    public static DecodedJWT verifyToken(String token) {
        //进行token的校验,注意使用同样的算法和同样的秘钥
        return JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token);
    }

    /**
     * 获取token中payload中的添加的参数 演示
     *
     * @return
     */
    public static DecodedJWT getTokenPayloadParam(String token) {
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(secretKey)).build().verify(token);
        //Map<String, Claim> claims = verify.getClaims(); //获取payload中所有的参数
        //verify.getClaim("userName").asString();  //通过key获取value,转成对应的类型
        return verify;
    }


    //测试数据
    public static String generateToken() {
        Map<String, Object> claims = new HashMap<>(4);
        claims.put("userId", 123);
        claims.put("phone", "13554345676");
        return getToken(claims);
    }

    public static void main(String[] args) throws JsonProcessingException {
        String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwaG9uZSI6IjEzNTU0MzQ1Njc2IiwiZXhwIjoxNjk1ODA0MzI0LCJ1c2VySWQiOiIxMjMifQ.BZeZ9iB7_o6C7i8DUhD-err5bEnYUCO63OQCqI64J2g";
        DecodedJWT decodedJWT = getTokenPayloadParam(token);

        System.out.println("header=" + decodedJWT.getHeader());
        System.out.println("payload=" + decodedJWT.getPayload());
        System.out.println("date=" + decodedJWT.getExpiresAt());//获取到过期时间
        System.out.println("Claims=" + decodedJWT.getClaims());
        System.out.println("userId=" + decodedJWT.getClaim("userId").asString());//获取属性值


    }
}
  • 配置拦截器
package com.test.intercepator;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.test.commutill.JwtUtil2;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

/**
 * @ClassName: Intercepator
 * @description: 拦截器实例
 * @author: yz
 * @create: 2021-12-10 14:28
 * @Version 1.0
 */
@Component
public class Intercepator implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//        String token = request.getHeader("token");
//        Map<String, Object> map = new HashMap<>();
//        if (StringUtils.isBlank(token)) {
//            throw new RuntimeException("无token值");
//        }
//        String userId = request.getParameter("userId");
//        if (!JwtUtil.validateToken(token, userId)) {
//            throw new RuntimeException("token验证失败");
//        }
//        return true;
        String token = request.getHeader("token");
        Map<String, String> map = new HashMap<>();
        try {
            JwtUtil2.verifyToken(token);//调用token解析的工具类进行解析
            return true;  //请求放行
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg", "签名不一致异常");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("msg", "令牌过期异常");
        } catch (AlgorithmMismatchException e) {
            e.printStackTrace();
            map.put("msg", "算法不匹配异常");
        } catch (InvalidClaimException e) {
            e.printStackTrace();
            map.put("msg", "失效的payload异常");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg", "token无效");
        }
        //map异常的数据要返回给客户端需要转换成json格式  @ResponseBody 内置了jackson
        String resultJson = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(resultJson);
        return true;  //异常不放行
    }

}
  • 注册拦截器
package com.test.config;

import com.test.intercepator.Intercepator;
import com.test.intercepator.LocaleChangeInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;

/**
 * @ClassName: WebConfig
 * @description:
 * @author: yz
 * @create: 2021-12-10 14:01
 * @Version 1.0
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private Intercepator intercepator;

    @Autowired
    private LocaleChangeInterceptor localeChangeInterceptor;

    //拦截器配置
       /*   addInterceptor:需要一个实现HandlerInterceptor接口的拦截器实例
        addPathPatterns:用于设置拦截器的过滤路径规则;addPathPatterns("/**")对所有请求都拦截
        excludePathPatterns:用于设置不需要拦截的过滤规则
        拦截器主要用途:进行用户登录状态的拦截,日志的拦截等。*/
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(intercepator)
                .addPathPatterns("/**")
                .excludePathPatterns(
                        "/swagger-*/**",
                        "/doc.html",
                        "/v2/api-docs"
                );
    }
 
}
  • 验证
    修改token值,点击发送按钮。弹出异常信息。
    在这里插入图片描述
    遇到的问题:
    在这里插入图片描述
麦客*风之韵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成jwt
01-25
springboot集成jwt的小栗子
SpringBoot实战(七)集成JWT
ACGkaka的博客
05-06 1015
JWT(Json Web Token),是一种广泛应用于网络环境传输、基于 JSON 的开放标准(RFC 7519),主要应用于单点登录(SSO)。
SpringBoot整合JWT
jakelihua
08-15 2015
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。它是一个基于 JSON 格式的令牌,由三个部分组成:头部(Header)、载荷(Payload)、签名(Signature)。其中,每一部分都使用 Base64 编码,形成一个使用点进行分隔的字符串。
SpringBootspringboot整合jwt
weixin_45618869的博客
07-19 1439
JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。JWT最重要的作用就是对 token信息的防伪作用。
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 1435
https://blog.csdn.net/weixin_67958017/article/details/128856282
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
springboot集成jwt和shiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
(转载)SpringMVC 集成 JWT验证方式
qq_34749144的博客
06-26 1069
JWT官网: https://jwt.io/ 原文地址: https://www.cnblogs.com/ifindu-san/p/9890879.html 这里以java的ssm框架为例,集成jwt。 1.pom.xml 导入jwt的包 <!-- jwt --> <dependency> <groupId>com.auth0</groupId...
JWT
m0_46487331的博客
12-14 773
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringBoot集成JWT实现token验证使用
qq_53762798的博客
03-30 260
大佬的JWT,供参考。
spring boot整合jwt
wgq2020的博客
10-11 100
JWT(JSON Web Token)是一种轻量级的身份验证和授权规范,它可以在客户端和服务器之间传递信息。在Spring Boot中,可以使用第三方库如。注解在方法上进行权限控制。具体的实现可以参考Spring Security的官方文档。现在可以在Controller层使用。
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3291
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
Springboot项目整合JWT
qq_51770163的博客
03-19 1726
Springboot框架整合JWT拦截验证
Spring 集成jwt(java web token)
ppwwp的专栏
02-28 2200
jwt(java web token)简介 它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 组成部分: Header 头部:一般为token类型和加密算法 Payload 负载:一些用户信息和额外的声明数据 ...
SpringBoot集成JWT
06-09
好的,我可以为您提供一些关于SpringBoot集成JWT的基本信息。 首先,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它可以将用户信息编码为一个安全的JSON对象,并使用密钥对其进行签名,以确保其未被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值